多授权中心可验证的基于属性的加密方案

在本文构造的方案中,将可验证的属性加密方案由单个授权中心推广剑多个授权中心,使得多授权中心的基于属性的加密在解密出错时,可以榆验出是哪个授权中心部分的密钥出错,只需要去找该授权中心重发,不用让所有授权中心均重发;其次各个授权中心在被检查出错时,也只需要重发对应部分的信息;当密钥通过验证,而解密依然出错,说明是加密过程中或者密文跟随的消息属性出了问题,不会出现无法判断哪里出错的情况.同时证明了加入可验证性后,在经过修正的安全模型下,并不影响多授权中心基于属性加密的安全性.     

基于ID的一次性盲公钥的密码学分析

为保护用户的隐私又可以避免用户犯罪,ZHANG等提出了基于ID的一次性盲公钥协议.本文给出了两种伪造攻击方案,任何注册用户和非注册用户都可以伪造私钥和证书并可以对任何消息产生有效的签名,而可信中心无法在法院授权的情况下揭示签名者的真实身份,从而指出他们的方案无法阻止用户犯罪,而且是全局可伪造的.     

可证明安全的基于属性的多授权中心签名方案

基于属性的密码体制中用户的多个属性由一个授权中心管理,这将会增大其工作负担,降低工作效率.本文设计了一个可证明安全的多授权中心的签名方案,将用户的多个属性由不同的授权中心分别管理,属性参数在全域范围选择.采用归约安全证明的研究方法证明此方案的安全性归约为计算Diffie-Hellman难题,方案具有存在性不可伪造和抗合谋攻击的特性.     

一种新的格上基于身份的分层加密方案

结合格上的困难问题对基于身份的分层加密(HIBE)体制进行分析与研究.针对现存方案公钥长度大、密文扩展率高的缺陷,对理想格上的陷门产生函数算法进行改进,并以新的陷门作为私钥提取算法的输入,生成用户的私钥,实现消息的加解密,从而基于判定性R-LWE(learning with errors over ring)困难问题构造了一个高效安全的HIBE方案,对它的安全性以及效率进行了分析.分析表明,本文提出的方案效率较高,且能够实现较高的安全性.     

基于多线性映射的可公开验证加密方案

为提高可公开验证加密方案的安全性,提出一种标准模型下基于多线性映射的可公开验证加密方案.通过用户公钥验证密文中陷门的合法性,结合多线性映射性质实现可公开验证,使用一次签名算法提升方案的安全性,并进行了安全性证明.分析结果表明,该方案是标准模型下选择密文攻击安全,不需要用户的私钥就能对密文进行验证,在安全性上有很大提高.     

基于模糊关系矩阵的可生存系统认知参考模型分析

提出了一种可生存系统认知参考模型的分析方法.基于四维可扩展的可生存系统认知参考模型,确立可生存系统的认知、自律、生存3个基本属性;基于模糊关系矩阵对可生存系统认知参考模型进行分析,计算得出3个基本属性在可生存系统中的贡献率及关联度;仿真实验对可生存系统实施DDOS攻击,导致3个基本属性及其子属性的贡献率发生变化,仿真结果判断出在该时刻可生存系统中哪些属性及其子属性处于主导地位.     

面向虚拟化平台的透明加密系统设计与实现

针对虚拟化平台下数据防泄漏系统的要求,本文结合可信平台模块(trusted platform module,TPM)的密钥管理优势,提出了一种基于eCrytpfs文件系统的透明加密系统设计与实现方法.该文件保护系统MeCryptfs(modified-eCryptfs)使用自定制TPM密钥管理模块,改善了eCryptfs用户空间的密钥管理部分,通过取消多用户模式进一步增强了整个系统的安全性.测试结果表明,该透明加密系统具有较高的性能,能够满足加解密透明性要求.     

基于基数排序及属性约简的雷电预报因子提取方法

雷电预报因子筛选是构建雷电预报模型的关键,也是提高雷电预报准确度的一个瓶颈问题。本文提出了一种基于粗糙集正域属性约简的雷电预报因子提取方法,该方法采用基数排序方法快速求解决策表的正域,引入可分辨度概念度量属性的重要性,提出了基于可分辨度的核属性与非核属性的提取方法,设计了相应的面向雷电预报因子提取的属性约简算法。真实气象数据集测试结果表明,该方法能有效提取最小集合的雷电预报因子,并较以往方法具有更好的性能。     

基于身份的高效层次认证密钥协商协议

现有的基于身份的认证密钥协商协议大多工作于单一私钥生成中心(Public Key Generator,PKG)环境下.提出了一种新的基于身份的层次认证密钥协商协议.该协议中,根PKG为多层的域PKG验证身份并生成私钥,域PKG为用户验证身份并生成私钥.多层PKG有效防止了单点失效问题,减轻了PKG的运行压力,提高了系统的承载能力.与已有协议相比,本文协议的计算开销与双方用户所处层级成线性关系,不含双线性对运算,具有更高的效率.协议的安全性基于计算性Diffie-Hellman困难假设,满足密钥协商协议所需的基本安全需求,具有PKG前向安全等安全性质.     

一种无密钥托管的移动IPv6网络匿名密钥分发协议

针对基于身份的密码体制IBE中固有的密钥托管问题,本文提出了一个移动IPv6网络环境中的无密钥托管匿名密钥生成机制与分发协议.该机制将节点身份认证和密钥生成与分发这两个过程分离,利用不可区分性匿名密文安全性在PKG不知道节点地址的情况下分发私钥给经过身份认证的节点,使得私钥生成中心或认证中心即使被单独攻破,攻击者也无法实现身份碰撞.可将身份认证中心部署于家乡服务器,而将PKG离线部署.经安全性分析,协议有效解决了移动IPv6网络中基于身份密码体制的密钥托管问题.     

基于认证公钥的抗合谋攻击加密方案

针对Gentry基于认证的公钥加密方案不能抵抗拒绝服务攻击和合谋攻击的问题,改进并优化了基于认证公钥加密方案,给出了该方案的安全模型、具体算法和标准模型下安全分析.在该办案中,用户利用第三方对其公钥和/或身份的认证对自选公钥进行签名;在加密消息前加密者将验证接收方对自选公钥的签名;公钥发布者如果没有合法授权将不能给出正确的签名,在保留Gentry方案优势的条件下能拒绝服务攻击和抵抗合谋攻击.     

一个基于随机函数族的新广播加密方案

通过构建一个随机甬数族,本方案可成功地为用户分配密钥,使合法用户以概率为1地获得解密,而用户的密钥存储仅为(l 1)个.在系统开始运行前,每一个用户从每一个密钥池获得一个密钥.对于退出用户,广播中心只需用他们所不拥有的其他(辅助)密钥加密会话密钥即可;而对于未退出用户,在一定程度上他们总可以找到一个密钥与广播中心在加密会话密钥时所使用的密钥相匹配.本方案较目前基于二叉树结构的广播加密方案(如SD)在密钥存储量上有显著的优势,同时在一定条件下可使传输成本最小.     

面向高校校园网的OTM问题检测

在信息化进程的不断推进之下,高校校园网也得到了迅速发展.为保证网络安全,校园网基于远程用户拨号认证(RADIUS)协议实行实名制上网.但是用户可通过破解路由器等多种方式去实现一个账号同时多人上网,造成用户身份信息的不明确,增加了网络安全管理的难度.基于此,定义一个校园网账号同时段被多人使用的问题为OTM(One-to-Many)问题并对其进行检测和分析.以作者所在学校为背景平台,对校园网流量中的认证流量和Http流量进行属性提取,基于属性相似度对其进行流量关联,最终对关联结果基于规则进行检测得到OTM问题的发生数量,并对发生该问题的用户群体进行特征的分析,包括区域分布特征、年龄分布特征和学院分布特征.实际的检测结果表明,该方法可以明确检测出校园网中OTM问题的发生数量以及用户群体的分布特征,为校园网安全管理提供了数据支撑.     

一种可证明安全的代理聚合签名方案

通过对现有的代理聚合签名方案的分析,发现KGC(key generation conter)分发密钥均基于一个假设的安全信道,在实际应用中会有安全漏洞:假设KGC在分发密钥的过程中泄漏了私钥,则敌手可成功伪造任何消息的合法签名.本文提出了一种基于双线性对的可证明安全的代理聚合签名方案,在该方案中,签名方案的公钥由KGC和用户共同产生,这样即使敌手在通信中获取KGC分发的私钥也不可伪造签名.在随机预言机模型下,证明了即使在对手最大限度获得相关权限的情况下,也可归约为解决CDH(Compute Diffie-Hellman)难题,并对签名方案进行了效率分析.从分析结果可以看出我们设计的方案更加安全和高效.     

混合信息系统属性约简

将属性分为基于等价关系的离散属性及基于优势关系的连续属性,利用U/{a}划分及正域方法对系统属性进行约简并提取规则,选用UCI中的6个数据集验证了方法的有效性。     

一种扩展的RBAC模型-GDTRBAC模型的设计

在Sandhu等提出的RBAC96模型中RBAC3的基础上，针对其在机构自身组织结构的管理功能和动态授权方面的不足进行了改进，提出了一种扩展的模型RBAC-GDTRBAC，通过在该模型中引入组、用户授权、有状态任务等概念，增强了RBAC机构管理的能力，增加了对动态授权的支持并能够支持工作的时序要求。     

基于多线性映射的可撤销属性基加密方案

针对现有的可撤销属性基加密方案密钥量过大且不稳定和效率不高的缺点,本文提出了一种新的基于多线性映射的撤销方案.该方案基于多线性映射问题,并将公钥广播加密与密文策略的属性基加密相结合,设计两层密文.效率分析表明,该方案达到了私钥和更新密钥的固定量级,提高了效率;在可选择的撤销列表模型下,基于3重多线性Diffie-Hellman Exponent((3,N)-MDHE)假设,证明了方案是选择明文攻击安全的.     

面向IaaS云的TRSAC访问控制策略研究与实现

针对当前云计算基础设施服务资源访问越权问题,本文提出了一种基于任务和角色面向服务的访问控制(TRSAC)策略.该策略基于服务实例对工作流进行分解,细化授权对象的范围并结合角色信任规则计算交互实体的信任程度,动态授予角色权限,然后综合任务节点服务需求和访问角色安全等级,求解服务实体的最小授权单元,实现面向云计算基础设施服务(IaaS)层的访问控制策略.理论分析与实验结果表明,该方法虽少量增加了实时评估主客体安全属性的次数,但能较好地保证访问控制中的动态授权原则和最小授权原则,有效地增强了云计算基础设施服务整体的安全性.     

基于属性证明的可信网络接入方案

为保证终端接入网络时的可信计算平台配置满足特定的安全要求,可信计算组织提出了可信网络接入框架,在该框架中终端向网络决策判定方请求接入网络时采用二进制证明方案进行平台证明,存在完整性管理复杂、暴露用户平台配置隐私等问题.针对上述问题,本文提出了一种基于属性的可信网络接入方案,采用基于属性的远程证明方法,将可信网络接入中的平台证明交给一个可信的安全属性证书颁发方,此属性证书颁发方根据终端平台的完整性颁发安全属性证书,负责网络接入判定的网络接入决策者根据属性证书进行网络接入判定,有效地解决了传统可信网络接入中网络接入决策者完整性管理复杂以及终端平台配置暴露等问题,并能够根据安全属性将平台接入到不同的隔离域,实现了网络中平台多域的隔离.本文在802.1X框架下实现了上述方案,实验结果显示该方案能够根据平台的安全属性实现终端平台VLAN的隔离.     

概念格的规则约简与属性特征

在研究了概念格形成的偏序结构的基础上，引进了由两个形式背景形成的决策形式背景，讨论了外延集类上等价关系和交一致关系，给出了决策形式背景下规则提取与属性约简方法．同时对于在规则约简中起不同作用的属性，区分了核心（存在于任何约简中）、相对必要属性（存在于某些约简中）和不必要属性（不存在于任何约简中），给出了各类属性的特征和判别方法．这些方法为概念格规则提取的启发式算法打下了基础．